无线网络安全保障措施

‘壹’ 无线网络安全防护措施有哪些

针对网络安全中的各种问题，我们应该怎样去解决，这里就告诉我们一个真理，要从安全方面入手，这才是解决问题的关键。公司无线网络的一个突出的问题是安全性。随着越来越多的企业部署无线网络，从而将雇员、专业的合伙人、一般公众连接到公司的系统和互联网。人们对增强无线网络安全的需要变得日益迫切。幸运的是，随着越来越多的公司也越来越清楚无线网络面临的威胁和对付这些威胁的方法，有线网络和无线网络面临的威胁差距越来越小。 无线网络威胁 无线网络安全并不是一个独立的问题，企业需要认识到应该在几条战线上对付攻击者，但有许多威胁是无线网络所独有的，这包括： 1、插入攻击：插入攻击以部署非授权的设备或创建新的无线网络为基础，这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置，要求客户端接入时输入口令。如果没有口令，入侵者就可以通过启用一个无线客户端与接入点通信，从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。 2、漫游攻击者：攻击者没有必要在物理上位于企业建筑物内部，他们可以使用网络扫描器，如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络，这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务，这称为“warwalking”。 3、欺诈性接入点：所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下，就设置或存在的接入点。一些雇员有时安装欺诈性接入点，其目的是为了避开公司已安装的安全手段，创建隐蔽的无线网络。这种秘密网络虽然基本上无害，但它却可以构造出一个无保护措施的网络，并进而充当了入侵者进入企业网络的开放门户。 当然，还有其它一些威胁，如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等，这都属于可给无线网络带来风险的因素。 实现无线网络安全的三大途径和六大方法 关于封闭网络，如一些家用网络和单位的网络，最常见的方法是在网络接入中配置接入限制。这种限制可包括加密和对MAC地址的检查。 正因为无线网络为攻击者提供了许多进入并危害企业网络的机会，所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性： 具体来说，有如下几种保护方法： 1、防火墙:一个强健的防火墙 可以有效地阻止入侵者通过无线设备进入企业网络的企图。 2、安全标准：最早的安全标准WEP已经被证明是极端不安全的，并易于受到安全攻击。而更新的规范，如WPA、WPA2及IEEE802.11i是更加强健的安全工具。采用无线网络的企业应当充分利用这两种技术中的某一种。 3、加密和身份验证：WPA、WPA2及IEEE802.11i支持内置的高级加密和身份验证技术。WPA2和802.11i都提供了对AES(高级加密标准)的支持，这项规范已为许多政府机构所采用。 4、漏洞扫描：许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息，如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞，如可以找出一些不安全的接入点等。 5、降低功率：一些无线路由器 和接入点准许用户降低发射器的功率，从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。同时，仔细地调整天线的位置也可有助于防止信号落于贼手。 6、教育用户：企业要教育雇员正确使用无线设备，要求雇员报告其检测到或发现的任何不正常或可疑的活动。

‘贰’ 保护网络安全的措施有哪些

现如今，网络已经十分普及，其中也肯定会出现一些安全问题，那么，如何保护网络安全呢?我在这里给大家带来保护网络安全的 措施 ，希望能帮到大家。

一般来说，人们认为网络安全技术基本上就是“老三样”：防火墙、杀毒和入侵检测。随着网络安全与网络攻击的博弈，人们发现入侵检测也不能完全达到网络安全预警的期望值，有资料表明相当一部分网络安全问题是由“内鬼”或“非恶意触发”引起的。此外，网络安全防护还有一个特殊的问题就是“要在网络的内外两侧同时作战”。因而，有人就开始把目光转向安全审计、态势感知、证书认证、可信模块等 其它 技术领域，希望寻找到第四种、第五种以至于第N种技术元素，以达到网络安全预警的初衷――“防患于未然”。

我们应从国防战略高度提高网络安全意识，强化网络保密管理观念。首先要确立网络安全管理是做好平时与战时__的重要保障的思想;其次要从根本上解决重技术，轻管理偏见;最后要确立网络安全管理人人有责的观念，确保信息安全是一项全员性、整体性工作，人人都有维护网络安全、保守网上军事秘密的义务和责任。

网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：

(1)全面规划网络平台的安全策略。

(2)制定网络安全的管理措施。

(3)使用防火墙。

(4)尽可能记录网络上的一切活动。

(5)注意对网络设备的物理保护。

(6)检验网络平台系统的脆弱性。

(7)建立可靠的识别和鉴别机制。

‘叁’ 如何保证网络安全

保障网络安全措施如下：制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；采取数据分类、重要数据备份和加密等措施。
【法律依据】
《网络安全法》第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。

‘肆’ 网络安全的措施有哪几点

计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

1、保护网络安全。

网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。

2、保护应用安全。

保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。

虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。

3、保护系统安全。

保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。

(4)无线网络安全保障措施扩展阅读：

安全隐患

1、 Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。

2、 Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。

3、 Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。

4、在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。

5、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。

6、计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。

‘伍’ 如何保护自家WiFi无线网络安全

周围邻居也可能利用您的WiFi网络上网，降低您的网速。增强家中网络的安全性不但能够在您进行无线上网时保护您的信息安全，还有助于保护连接到网络的各类设备。 如果您希望提升家中WiFi网络的安全性，采取下列步骤可以有所帮助。 当您的朋友第一次到您家做客，使用您家WiFi网络时，是否需要输入密码?如果不需要，那么您的网络就不够安全。即便他们需要输入密码，您也有多种不同的方式来保护自家网络，而这些方法之间也有优劣之分。您可以通过查看WiFi网络设置来了解自家的网络已有哪些保护措施。您的网络可能是不安全的，也可能已经添加了有线等效加密(WEP)，无线网络安全接入(WPA)或二代无线网络安全接入(WPA2)等保护措施。其中WEP是最早的无线安全协议，效果不佳。WPA优于WEP，不过WPA2才是最佳选择。 2、将您的网络安全设置改为WPA2 WiFi信号是由家中的无线路由器产生的。如果您的网络没有WPA2保护，需要访问路由器设置页面进行更改。您可以查阅路由器用户手册，了解如何访问设置页面，或在线搜索针对自己路由器的使用指导。所有在2006年后发售的拥有WiFi商标的路由器都支持WPA2。如果您购买的是早期型号，我们建议您购买支持WPA2的新型路由器。因为它更安全，速度也更快。 3、为您的WiFi网络设置高强度密码 要想使用WPA2保护网络，您需要创建密码。选择独特的密码十分重要，最好使用由数字，字母和符号组成的长密码，这样不易被别人猜出。如果您是在家中这样的私人场所，也可以将密码记录下来以免忘记，并安全保管，以免遗失。另外，您的密码还需要方便使用，以便朋友来访时可以连接您家的WiFi网络。正如您不会将自家钥匙交给陌生人一样，家中的WiFi密码也只能告诉信得过的人。 4、保护您的路由器，以免他人更改您的设置 您的路由器需要设置单独的密码，要与保护WiFi网络的密码有所区别。新买的路由器一般不设密码，或者只设有简单的默认密码，很多网络犯罪分子都已经知道这个密码。如果您不重设路由器密码，世界上任何地方的犯罪分子都可以轻易入侵您的网络，截取您通过网络分享的数据，并对连接到该网络的电脑发起攻击。许多路由器都可以在设置页面重设密码。这组密码不要告诉其他人，并需要与WiFi密码加以区分 (如步骤三所述)。如果您为两者设置相同的密码，任何拥有您家WiFi密码的人便都能够更改您家无线路由器的设置。 5、如果您需要帮助，请查阅使用说明 如果您遗失了路由器手册，还可以在搜索引擎中查找家中使用的基站或路由器的型号，许多设备的信息都能在网上查到。

‘陆’ 无线局域网中的安全措施

摘要：由于在现在局域网建网的地域越来越复杂，很多地方应用了无线技术来建设局域网，但是由于 无线网络 应用电磁波作为传输媒介，因此安全问题就显得尤为突出。本文通过对危害无线局域网的一些因素的叙述，给出了一些应对的安全 措施 ，以保证无线局域网能够安全，正常的运行。

关键字：WLAN，WEP，SSID，DHCP，安全措施

1、 引言

WLAN是Wireless LAN的简称，即无线局域网。所谓无线网络，顾名思义就是利用无线电波作为传输媒介而构成的信息网络，由于WLAN产品不需要铺设通信电缆，可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性，在难以重新布线的区域提供快速而经济有效的局域网接入，无线网桥可用于为远程站点和用户提供局域网接入。但是，当用户对WLAN的期望日益升高时，其安全问题随着应用的深入表露无遗，并成为制约WLAN发展的主要瓶颈。[1]

2、 威胁无线局域网的因素

首先应该被考虑的问题是，由于WLAN是以无线电波作为上网的传输媒介，因此无线网络存在着难以限制网络资源的物理访问，无线网络信号可以传播到预期的方位以外的地域，具体情况要根据建筑材料和环境而定，这样就使得在网络覆盖范围内都成为了WLAN的接入点，给入侵者有机可乘，可以在预期范围以外的地方访问WLAN，窃听网络中的数据，有机会入侵WLAN应用各种攻击手段对无线网络进行攻击，当然是在入侵者拥有了网络访问权以后。

其次，由于WLAN还是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机，甚至会产生比普通网络更加严重的后果。

因此，WLAN中存在的安全威胁因素主要是：窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。

IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示：“谈到无线网络，企业的IT经理人最担心两件事：首先，市面上的标准与安全解决方案太多，使得用户无所适从；第二，如何避免网络遭到入侵或攻击？无线媒体是一个共享的媒介，不会受限于建筑物实体界线，因此有人要入侵网络可以说十分容易。”[1]因此WLAN的安全措施还是任重而道远。

3、无线局域网的安全措施

3.1采用无线加密协议防止未授权用户

保护无线网络安全的最基本手段是加密，通过简单的设置AP和无线网卡等设备，就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准 方法 。许多无线设备商为了方便安装产品，交付设备时关闭了WEP功能。但一旦采用这种做法，黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换，有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID)，在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播，除非有特殊理由，否则应该禁用SSID广播，这样可以减少无线网络被发现的可能。[2]

但是目前IEEE 802.11标准中的WEP安全解决方案，在15分钟内就可被攻破，已被广泛证实不安全。所以如果采用支持128位的WEP，解除128位的WEP的是相当困难的，同时也要定期的更改WEP，保证无线局域网的安全。如果设备提供了动态WEP功能，最好应用动态WEP，值得我们庆幸的，Windows XP本身就提供了这种支持，您可以选中WEP选项“自动为我提供这个密钥”。同时，应该使用IPSec，，SSH或其他

WEP的替代方法。不要仅使用WEP来保护数据。

3.2 改变服务集标识符并且禁止SSID广播

SSID是无线接人的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM 的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的 SSID。如果可能的话。还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户．当然这并不是说你的网络不可用．只是它不会出现在可使用网络的名单中。[3]

3.3 静态IP与MAC地址绑定

无线路由器或AP在分配IP地址时，通常是默认使用DHCP即动态IP地址分配，这对无线网络来说是有安全隐患的，“不法”分子只要找到了无线网络，很容易就可以通过DHCP而得到一个合法的IP地址，由此就进入了局域网络中。因此，建议关闭DHCP服务，为家里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因为还要验证绑定的MAC地址，相当于两重关卡。[4]设置方法如下：

首先，在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能，把各电脑的“名称”(即Windows系统属陆里的“计算机描述”)，以后要固定使用的IP地址，其网卡的MAC地址都如实填写好，最后点“执行”就可以了。

3.4 技术在无线网络中的应用

对于高安全要求或大型的无线网络，方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。

对于无线商用网络，基于的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中，在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议，包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样，技术可以应用在无线的安全接入上，在这个应用中，不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网)，但是无线接入网络VLAN (AP和服务器之问的线路)从局域网已经被服务器和内部网络隔离出来。服务器提供网络的认征和加密，并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同，方案具有较强的扩充、升级性能，可应用于大规模的无线网络。

3.5 无线入侵检测系统

无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说，是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者，还能加强策略。通过使用强有力的策略，会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析，找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。[1]

3.6 采用身份验证和授权

当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时，他们可以尝试建立与AP关联。目前，有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于，如果您没有其他的保护或身份验证机制，那么您的无线网络将是完全开放的，就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请，然后AP发回口令。接着，STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的，因此如果有人能够同时截取口令和响应，那么他们就可能找到用于加密的密钥。采用其他的身份验证／授权机制。使用 802.1x，或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。

[5]

3.7其他安全措施

除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术，例如设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容；加强企业内部管理等等的方法来加强WLAN的安全性。

4、 结论

无线网络应用越来越广泛，但是随之而来的网络安全问题也越来越突出，在文中分析了WLAN的不安全因素，针对不安全因素给出了解决的安全措施，有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段，但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样，所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样，但是安全措施的思路是正确的，能够保证无线网络内的用户的信息和传输消息的安全性和保密性，有效地维护无线局域网的安全。

参考文献

[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007, (5):91-94.

[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005, (17):18.

[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006, (20):6.

[4]冷月.无线网络保卫战[J].计算机应用文摘.2006,(26)：79-81.

[5]宋涛.无线局域网的安全措施[J]. 电信交换.2004, (1):22-27.

‘柒’ 如何确保家庭无线网络安全

方法/步骤

1
进入TP无线路由的WEB管理界面，浏览器输入192.168.1.1即可，输入用户名和密码，进入无线路由的web管理界面，选择“无线设置”标签，

END
方法/步骤2

在“无线设置”标签的“基本设置”下，在右侧取消“开启SSID广播”的勾选，保存。该操作是吧无线路由的SSID广播取消，通常所说的隐藏SSID，隐藏后当无线连接此路由时，需要手动输入正确的SSID号，不知道SSID号的人是无法和此路由器建立联系的

在“无线设置”标签下切换到“无线安全设置”，此页面设置无线网络的安全密码，根据系统提示，选择WPA-PSK/WPA2-PSK加密类型，在PSK密码处设置密码（不少于8位)，确定。
此操作是为了加密无线网络，提高安全性，不知道密码的用户，即是知道了SSID也不能和路由建立连接

经过以上步骤的设置，你的无线网络已经很安全了，但为了绝对的安全，下面将启用终极设置，MAC过滤。
在“无线设置”标签下切换到“无线mac地址过滤”，选择“启用过滤”，“过滤规则”选择”禁止“，然后选择“添加新条目”，弹出一个警告框，确定后进入下一个页面，开始手动设置“无线网络MAC地址过滤设置”，在“mac地址”里面手动输入你打算可以连接到本无线网络的设备的mac（网卡地址，相当于身份证号码，全球唯一性），状态选择“生效”，保存，返回，即可以将可以加入到本无线网络的设备添加进来，多次重复该步骤，可以添加多个设备，然后，保存路由。
PS：此步骤是将设备的mac和路由进行绑定，在允许列表的设备才可以上网，不在列表的设备，即使知道前2个步骤的SSID和无线密码，也无法通过无线路由的安全认证，也不能加入本无线网络，这对于提高无线网络的安全有着极高的作用。
该步骤可以和前2步骤分离，也即是仅设置该步骤，将设备的mac进行绑定，这样可让有心蹭网的人抓狂，明明是无加密，信号很强的，为嘛不能连接？呵呵，这点是不是很强大呢？

‘捌’ 教你如何保护WiFi无线网络安全

全球有超过四分之一的互联网用户在家使用WiFi上网，不过其中许多人并不清楚该如何保护家庭网络以及这样做的重要性。在这方面，最妥当的想法就是将您家中的WiFi
网络视作自家的前门:只有防锁坚固才能确保自身安全。
当数据通过不安全的WiFi
网络进行传输时，您所发送或接收的数据都有可能被附近人拦截。周围邻居也可能利用您的WiFi
网络上网，降低您的网速。增强家中网络的安全性不但能够在您无线上网时保护您的信息安全，还有助于保护连接到网络的各类设备。
如果您希望提升家中WiFi
网络的安全性，采取下列步骤可以有所帮助。
1.查看家中WiFi
网络已使用哪些安全保护措施
当您的朋友第一次到您家做客，使用您家WiFi
网络时，是否需要输入密码?如果不需要，那么您的网络就不够安全。即便他们需要输入密码，您也有多种方式保护自家网络，而这些方法之间也有优劣之分。您可
以通过查看WiFi
网络设置来了解自家网络已有哪些保护措施。您的网络可能是不安全的，也可能已经添加了有线等效加密(WEP)，无线网络安全接入(WPA)或二代无线网络
安全接入(WPA2)等保护措施。其中WEP是最早的无线安全协议，效果不佳。WPA优于WEP，不过WPA2才是最佳选择。
2.将您的网络安全设置改为WPA2
WiFi
信号是由家中的无线路由器产生的。如果您的网络没有WPA2保护，则需要访问路由器设置页面进行更改。您可以查阅路由器用户手册，了解如何访问设置页面，
或在线搜索针对自己路由器的使用指导。所有在2006年后发售的拥有WiFi
商标的路由器都支持WPA2。如果您购买的是早期型号，我们建议您更换支持WPA2的新型路由器。因为它更安全，速度也更快。
3.为您的WiFi
网络设置高强度密码
要想使用WPA2保护网络，您需要创建密码。选择独特的密码十分重要，最好使用由数字，字母和符号组成的长密码，这样不易被别人猜出。如果您是在家中这
样的私人场所，也可以将密码记录下来以免忘记，并安全保管，以免遗失。另外，您的密码还需要方便使用，以便朋友来访时可以连接您家的WiFi
网络。正如您不会将自家钥匙交给陌生人一样，家中的WiFi
密码也只能告诉信得过的人。
4.保护您的路由器，以免他人更改您的设置
您的路由器需要设置单独的密码，要与保护WiFi
网络的密码有所区别。新买的路由器一般不设密码，或者只设有简单的默认密码，很多网络犯罪分子都已经知道这个密码。如果您不重设路由器密码，世界上任何地
方的犯罪分子都可以轻易入侵您的网络，截取您通过网络分享的数据，并对连接到该网络的电脑发起攻击。许多路由器都可以在设置页面重设密码。

‘玖’ 教你保护WiFi无线网络安全

教你保护WiFi无线网络安全

Wi-Fi生来就容易受到黑客攻击和偷听。但是，如果你使用正确的安全措施，Wi-Fi可以是安全的。下面是我整理的保护Wi-Fi无线网络安全的相关知识，希望对你有帮助!

1.不要使用WEP

WEP(有线等效加密协议)安全早就死了。大多数没有经验的黑客能够迅速地和轻松地突破基本的加密。因此，你根本就不应该使用WEP。如果你使用WEP，请立即升级到具有802.1X身份识别功能的802.11i的WPA2(WiFi保护接入)协议。如果你有不支持WPA2的老式设备和接入点，你要设法进行固件升级或者干脆更换设备。

2.不要使用WPA/WPA2-PSK

WPA/WPA2安全的预共享密钥(PSK)模式对于商务或者企业环境是不安全的。当使用这个模式的时候，同一个预共享密钥必须输入到每一个客户。因此，每当员工离职和一个客户丢失或失窃密钥时，这个PSK都要进行修改。这在大多数环境中是不现实的。

3.一定要应用802.11i

WPA和WPA2安全的EAP(可扩展身份识别协议)模式使用802.1X身份识别，而不是PSK，向每一个用户和客户提供自己的登录证书的能力，如用户名和口令以及一个数字证书。

实际的加密密钥是在后台定期改变和交换的。因此，要改变或者撤销用户访问，你要做的事情就是在中央服务器修改登录证书，而不是在每一台客户机上改变PSK。这种独特的每个进程一个密钥的做法还防止用户相互偷听对方的通讯。现在，使用火狐的插件Firesheep和Android应用DroidSheep等工具很容易进行偷听。

要记住，为了达到尽可能最佳的安全，你应该使用带802.1X的WPA2。这个协议也称作802.1i。

要实现802.1X身份识别，你需要拥有一台RADIUS/AAA服务器。如果你在运行WindowsServer2008和以上版本的操作系统，你要考虑使用网络政策服务器(NPS)或者早期服务器版本的互联网身份识别服务(IAS)。如果你没有运行Windows服务器软件，你可以考虑使用开源FreeRADIUS服务器软件。

如果你运行WindowsServer2008R2或以上版本，你可以通过组策略把802.1X设置到区域连接在一起的客户机。否则，你可以考虑采用第三方解决方案帮助配置这些客户机。

4.一定要保证802.1X客户机设置的安全

WPA/WPA2的EAP模式仍然容易受到中间人攻击。然而，你可以通过保证客户机EAP设置的安全来阻止这些攻击。例如，在Windows的EAP设置中，你可以通过选择CA证书、指定服务器地址和禁止它提示用户信任新的服务器或者CA证书等方法实现服务器证书验证。

你还可以通过组策略把802.1X设置推向区域连接在一起的客户机，或者使用Avenda公司的Quick1X等第三方解决方案。

5.一定要使用一个无线入侵防御系统

保证WiFi网络安全比抗击那些直设法获取网络访问权限的企图要做更多的事情。例如，黑客可以建立一个虚假的接入点或者实施拒绝服务攻击。要帮助检测和对抗这些攻击，你应该应用一个无线入侵防御系统(WIPS)。厂商直接的WIPS系统的设计和方法是不同的，但是，这些系统一般都监视虚假的接入点或者恶意行动，向你报警和可能阻止这些恶意行为。

有许多商业厂商提供WIPS解决方案，如AirMagnet和AirTightNeworks。还有Snort等开源软件的选择。

6.一定要应用NAP或者NAC

除了802.11i和WIPS之外，你应该考虑应用一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案。这些解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。

有些NAC解决方案可能包括网络入侵防御和检测功能。但是，你要保证这个解决方案还专门提供无线保护功能。

如果你的客户机在运行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系统，你可以使用微软的NAP功能。此外，你可以考虑第三方的解决方案，如开源软件的PacketFence。

7.不要信任隐藏的SSID

无线安全的一个不实的说法是关闭接入点的SSID播出将隐藏你的网络，或者至少可以隐藏你的SSID，让黑客很难找到你的网络。然而，这种做法只是从接入点信标中取消了SSID。它仍然包含在802.11相关的请求之中，在某些情况下还包含在探索请求和回应数据包中。因此，偷听者能够使用合法的无线分析器在繁忙的网络中迅速发现“隐藏的”SSID。

一些人可能争辩说，关闭SSID播出仍然会提供另一层安全保护。但是，要记住，它能够对网络设置和性能产生负面影响。你必须手工向客户机输入SSID，这使客户机的配置更加复杂。这还会引起探索请求和回应数据包的增加，从而减少可用带宽。

8.不要信任MAC地址过滤

无线安全的另一个不实的说法是启用MAC(媒体接入控制)地址过滤将增加另一层安全，控制哪一个客户机能够连接到这个网络。这有一些真实性。但是，要记住，偷听者很容易监视网络中授权的MAC地址并且随后改变自己的计算机的.MAC地址。

因此，你不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。不过，你可以把这种做法作为松散地控制用户可以使用哪一台客户机和设备进入网络的方法。但是，你还要考虑保持MAC列表处于最新状态所面临的管理难题。

9.一定要限制SSID用户能够连接的网络

许多网络管理员忽略了一个简单而具有潜在危险的安全风险：用户故意地或者非故意地连接到临近的或者非授权的无线网络，使自己的计算机向可能的入侵敞开大门。然而，过滤SSID是防止发生这种情况的一个途径。例如，在WindowsVista和以上版本中，你可以使用netshwlan指令向用户能够看到和连接的那些SSID增加过滤器。对于台式电脑来说，你可以拒绝你的无线网络的那些SSID以外的所有的SSID。对于笔记本电脑来说，你可以仅仅拒绝临近网络的SSID，让它们仍然连接到热点和它们自己的网络。

10.一定要物理地保护网络组件的安全

要记住，计算机安全并不仅仅是最新的技术和加密。物理地保证你的网络组件的安全同样重要。要保证接入点放置在接触不到的地方，如假吊顶上面或者考虑把接入点放置在一个保密的地方，然后在一个最佳地方使用一个天线。如果不安全，有人会轻松来到接入点并且把接入点重新设置到厂商默认值以开放这个接入点。

‘拾’ 教你保护无线网络安全连接九大方法

无线网络 系统如果没有采取适当的安全 措施 ，无论这个无线系统是安装在家中还是办公室里，都可能引发严重的安全问题。事实上，一些针对住宅区提供互联网服务的提供商已经在他们的服务协议中禁止用户和 其它 非授权人共享联网服务。一个不安全的无线网络可能造成服务丢失或是被利用来对其他网络发起攻击。为了避免类似的一些无线网络安全漏洞，这里我们介绍几种便捷的无线网络安全技巧。

使用无线加密协议

无线加密协议(WEP)是无线网络上信息加密的一种标准 方法 。现在出产的无线路由器几乎都向用户提供加密数据的选择，妥善使用此功能就可以避免自己的银行账户的细节信息(包括口令等)不会被居心叵测的人截获。不过，需要注意，Wi-Fi保护访问技术(WPA和WPA2)要比WEP协议更加强健，因此在保障无线通信安全方面作用更大。

使用MAC地址过滤

在正常情况下，无线路由器和访问点都拥有防止未知的无线设备连接到网络的能力。这种功能是通过比较试图连接到路由器的设备MAC地址和路由器所保存设备的MAC地址而实现的。不过，不幸的是，在路由器出厂时这种特性通常是关闭的，因为这需要用户的一些努力才能使其正确工作，否则反而无法连接网络。因此，通过启用这种特性，并且只告诉路由器本单位或家庭中无线设备的MAC地址，我们就可以防止他人盗用自己的互联网连接，从而提升安全性。

但不要完全依赖这条措施，也可以这样说，使用MAC地址过滤并不是对付死心塌地地克隆MAC地址并试图连接到用户无线网络的黑客们的救命良药，但你确实应当采用这项措施来减少网络风险。

设置安全口令

为无线的互联网访问设置一个口令至关重要。选择一个强口令有助于无线网络的安全，但不要使用伴随无线路由器的默认口令，也不要使用可从字典上轻易查出的单词或家人的生日等作为口令。

在不使用网络时将其关闭

如果用户的无线网络并不需要每周的24小时都提供服务，可以通过关闭它而减少被黑客们利用的机会。虽然许多企业并不能离开网络，而且将这条建议付诸实施可能不太现实。但对一个 系统安全 性的最重大改进措施之一就是直接关闭它。因为没有任何人可以访问一种并不存在或打开的服务。

监视网络入侵者

用户应当一直监视网络活动，并保障跟踪其趋势。用户特别是管理员对恶意的黑客活动了解得越多，就越容易找到应对策略。网管员应当收集有关扫描和访问企图的日志，并利用现有的大量统计数字生成工具，以便于将这些日志变为更有用的信息。还要设置日志服务器，使其在发现确实有恶意活动发生时能够向管理员发送警告或电子邮件。笔者认为，了解危险相当于赢得了斗争胜利的一半。

改变服务集标识符并且禁止SSID广播

服务集标识符(SSID)是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。

如果可能的话，还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你的网络不可用，只是它不会出现在可使用网络的名单中。

仅在某些时段允许互联网访问

现在出产的一些最新无线路由器允许用户将对互联网的访问限制在一天的某些时段。例如，如果你不需要从周一到周五的上午8点到下午6点之间访问互联网，那么干脆打开你的路由器设置来禁用这些时段的访问!

无线网络系统如果没有采取适当的安全措施，无论这个无线系统是安装在家中还是办公室里，都可能引发严重的安全问题。事实上，一些针对住宅区提供互联网服务的提供商已经在他们的服务协议中禁止用户和其它非授权人共享联网服务。一个不安全的无线网络可能造成服务丢失或是被利用来对其他网络发起攻击。为了避免类似的一些无线网络安全漏洞，这里我们介绍几种便捷的无线网络安全技巧。

使用无线加密协议

无线加密协议(WEP)是无线网络上信息加密的一种标准方法。现在出产的无线路由器几乎都向用户提供加密数据的选择，妥善使用此功能就可以避免自己的银行账户的细节信息(包括口令等)不会被居心叵测的人截获。不过，需要注意，Wi-Fi保护访问技术(WPA和WPA2)要比WEP协议更加强健，因此在保障无线通信安全方面作用更大。

使用MAC地址过滤

在正常情况下，无线路由器和访问点都拥有防止未知的无线设备连接到网络的能力。这种功能是通过比较试图连接到路由器的设备MAC地址和路由器所保存设备的MAC地址而实现的。不过，不幸的是，在路由器出厂时这种特性通常是关闭的，因为这需要用户的一些努力才能使其正确工作，否则反而无法连接网络。因此，通过启用这种特性，并且只告诉路由器本单位或家庭中无线设备的MAC地址，我们就可以防止他人盗用自己的互联网连接，从而提升安全性。

但不要完全依赖这条措施，也可以这样说，使用MAC地址过滤并不是对付死心塌地地克隆MAC地址并试图连接到用户无线网络的黑客们的救命良药，但你确实应当采用这项措施来减少网络风险。

设置安全口令

为无线的互联网访问设置一个口令至关重要。选择一个强口令有助于无线网络的安全，但不要使用伴随无线路由器的默认口令，也不要使用可从字典上轻易查出的单词或家人的生日等作为口令。

在不使用网络时将其关闭

如果用户的无线网络并不需要每周的24小时都提供服务，可以通过关闭它而减少被黑客们利用的机会。虽然许多企业并不能离开网络，而且将这条建议付诸实施可能不太现实。但对一个系统安全性的最重大改进措施之一就是直接关闭它。因为没有任何人可以访问一种并不存在或打开的服务。

监视网络入侵者

用户应当一直监视网络活动，并保障跟踪其趋势。用户特别是管理员对恶意的黑客活动了解得越多，就越容易找到应对策略。网管员应当收集有关扫描和访问企图的日志，并利用现有的大量统计数字生成工具，以便于将这些日志变为更有用的信息。还要设置日志服务器，使其在发现确实有恶意活动发生时能够向管理员发送警告或电子邮件。笔者认为，了解危险相当于赢得了斗争胜利的一半。

改变服务集标识符并且禁止SSID广播

服务集标识符(SSID)是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。

如果可能的话，还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你的网络不可用，只是它不会出现在可使用网络的名单中。

仅在某些时段允许互联网访问

现在出产的一些最新无线路由器允许用户将对互联网的访问限制在一天的某些时段。例如，如果你不需要从周一到周五的上午8点到下午6点之间访问互联网，那么干脆打开你的路由器设置来禁用这些时段的访问!

禁用动态主机配置协议

这好象是一个奇怪的安全策略，但是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去解除你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

禁用或修改SNMP设置

如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去解除你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

禁用或修改SNMP设置

如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。